München – Online-Registrierungen, digitale Zertifikate und ein mögliches Impfregister: Zur Pandemiebekämpfung wird immer wieder die zentrale Speicherung von persönlichen Daten gefordert. Auch die Corona-Warn-App bekommt immer mehr Funktionen, die den einstigen Charme der App – keine Datenkrake zu sein – torpedieren könnten. Ein Gespräch mit Michael Will, dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht.
Herr Will, mit einer neuen Version der Corona-Warn- app können Nutzer beim Ticketkauf ihre Zertifikate an den Veranstalter übermitteln. Das soll Zugangskontrollen erleichtern. Wie stehen Sie dazu?
Man muss immer abgleichen, ob das Infektionsschutzgesetz einen technischen Vorgang rechtfertigt. Es verlangt zum Beispiel eine Zugangskontrolle bei Veranstaltungen, aber keinesfalls eine Datenspeicherung auf Vorrat. Der große Charme der Corona-Warn-App war ja immer, dass die Daten nur dezentral auf dem Gerät gespeichert wurden. Die Online-Übermittlung der Zertifikate kann deshalb höchstens die Komfort-Lösung sein und bedarf der ausdrücklichen Einwilligung der Nutzer. Solche Systeme – also sowohl beim Validierungsdienstleister als auch beim Veranstalter – müssten streng auf ihre Speicherdauer und Sicherheit überprüft werden. Sonst entstünde durch solche Dienste ein Schattenimpfregister bei den Veranstaltern, das ist keine schöne Vorstellung.
Kann dieses Verfahren zur Regel werden?
Nein, datenschutzrechtlich ist Speicherung der Zertifikate bis auf Weiteres die Ausnahme und nicht die Regel, da sie über das Infektionsschutzgesetz in seiner heutigen Fassung hinausgeht. Jeder Besucher einer Veranstaltung hat das Recht auf die Kontrolle durch einen Menschen, bei der seine Daten nicht gespeichert werden.
Der Städte- und Gemeindebund fordert ein allgemeines Impfregister, Kritiker kontern mit Datenschutzbedenken.
Mir ist kein Fall bekannt, in dem der Datenschutz die Bekämpfung von Infektionsherden verhindert hat. Ein behördliches Impfregister wäre datenschutzrechtlich jedenfalls nicht ausgeschlossen, solange es entsprechend hohen Standards unterliegt. Da darf die politische Verantwortung nicht auf den Datenschutz abgewälzt werden. Es kommt auch hier vor allem auf die technische Ausgestaltung, also die Sicherung an. Denn grundsätzlich ist eine zentrale Datenspeicherung immer angreifbarer. als eine dezentrale. Und wir sprechen hier von sehr sensiblen Gesundheitsdaten, die von Kriminellen abgeschöpft werden könnten.
Unerwünschte Datenabfragen kamen im Südwesten Deutschlands aus einer anderen Richtung: Von der Polizei.
Zwischenzeitlich wurde bestätigt, dass Beamte in mehreren Fällen versucht haben, auf die Daten der Kontakterfassung zuzugreifen. Da ging es meist um die zentral gespeicherten, verschlüsselten Daten aus der Luca-App, die im Gegensatz zur Corona-Warn-App persönliche Daten wie Name und Anschrift erfasst. Unabhängig von technischen Absicherungen besteht, um die Akzeptanz der Kontaktverfolgung zu steigern, ein gesetzliches Zweckänderungs-, also ein Beschlagnahmeverbot. Das ist richtig so, denn die Bürger sollen an der Kontaktnachverfolgung mitwirken und zum Beispiel die Luca-App ja freiwillig nutzen, um die Pandemie einzudämmen und nicht, um Strafverfolgungen zu erleichtern. Unabhängig davon fragen wir uns auch als Datenschutzbehörden mittlerweile, ob nicht angesichts immer höherer Infektionszahlen und der dadurch immer geringeren Auswertungsmöglichkeiten der Gesundheitsämter auch die letzten in Bayern noch fortgeltenden Pflichten zur Kontaktdatenerfassung aufgehoben werden sollten. Es wäre gut, wenn dies der Gesetzgeber angeht, bevor erneut ein Gericht diese zum Beispiel noch für Großveranstaltungen geltende Verpflichtung als unverhältnismäßig aufhebt.
Interview: Matthias Schneider